En avril 2024, l’Autorité nationale de contrôle du traitement des données à caractère personnel a achevé une enquête auprès de l’opérateur du Centre médical Dr. Furtună Dan dans laquelle elle a constaté une violation de l’article 58 para. (2) et de l’article 83 para. (5) lettre e) et par. (6) du règlement (UE) 2016/679 (GDPR), ainsi que de l’art. 5 para. (1)(f) en liaison avec l’art. 5 para. (2) et de l’article 24 du GDPR.

A ce titre, le responsable du traitement s’est vu infliger une amende de 7.455 lei, soit l’équivalent de 1.500 EUR pour l’infraction prévue à l’art. 83 para. (5) lit. e) et para. (6) du GDPR, ainsi qu’un avertissement pour violation des dispositions de l’Art. 5 para. (1)(f) en liaison avec l’art. 5 para. (2) et de l’article 24 du GDPR.

L’enquête a été ouverte parce que le responsable du traitement n’a pas fourni à l’Autorité nationale de surveillance la preuve qu’il s’est conformé aux mesures correctives dans le procès-verbal par lequel notre institution a sanctionné ce responsable du traitement.

Au cours de l’enquête, il a été constaté que le centre médical Dr. Furtună Dan n’a pas donné suite à la mesure corrective ordonnée par le rapport de constatation/sanction, sur la base de l’article 58, paragraphe (2), lettre d), du RGPD. (2) lettre d) du GDPR, violant ainsi les dispositions de l’art. 58 para. (2), de l’art. 83 para. (5)(e) et de l’Art. (6) du GDPR.

L’autorité nationale de surveillance a également estimé que l’opérateur avait enfreint l’article 5, paragraphe 5, point a), de la directive. (L’autorité de contrôle nationale a également estimé que l’opérateur avait enfreint l’article 5, paragraphe 5, point a), de la directive. (2) et de l’article 24 du GDPR car il n’a pas pris de mesures organisationnelles suffisantes pour garantir que les données sont traitées d’une manière qui assure leur sécurité adéquate.

Dans le même temps, il a été ordonné au responsable du traitement de revoir et de mettre à jour les mesures techniques et organisationnelles mises en œuvre à la suite de l’évaluation du risque pour les droits et libertés des personnes, y compris les procédures de travail relatives à la protection des données à caractère personnel. Elle a également ordonné l’établissement d’un registre de toutes les violations de données à caractère personnel, comprenant une description de la situation de fait dans laquelle la violation de données à caractère personnel s’est produite, de ses effets et des mesures correctives prises, en référence à l’article 33, paragraphe 2, de la directive sur la protection des données. (L’article 33, paragraphe 2, de la directive sur la protection des données et l’article 33, paragraphe 5, du règlement GDPR.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_12.04.2024&lang=ro